トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

AppLocker のバックアップ(No.4)

・コマンドラインインターフェースの悪用

AppLockerとは

ユーザー、セキュリティグループが実行できるアプリケーションをグループポリシーもしくはMDMで制御します。これによって、マルウェアが悪用するDebugコマンドやPowerShellなどの実行を防止し、攻撃を緩和します。内部的に、*.exe と *.dll に対するルールはカーネルモードで強制されるため安全です。
AppLockerはWindows Server 2016 以上か、Windows 10 Enterprise Edition で利用可能です。

制御対象

  • 実行形式ファイル (*.exe, *.com)
  • PowerShell スクリプト (*.ps1)
  • バッチファイル (*.bat, *.cmd)
  • Java スクリプト (*.js)
  • VBScript (*.vbs)
  • Windows インストーラー (.msi、.mst、.msp)
  • ダイナミックリンク ライブラリ (*.dll, *.ocx)
  • パッケージ アプリのインストーラー (*.appx)

ルール設定

以下のルールを設定できます。

  • ファイルハッシュ
  • パス
    • フォルダ・ファイルパス、環境変数、UNCパス、ワイルドカードが使用可能
  • Publisherの電子署名
    上記のファイルに対して、デフォルトでは明示的な許可(ホワイトリスト)で動作し、許可されていないファイルには暗黙的な拒否(許可ルールの影響受けないすべてのファイルのブロック)が適用されます。また、明示的な拒否(ブラックリスト)や例外設定が構成できます。
    組織のアプリケーションやスクリプトの配布には、電子署名のPublisher、製品名、ファイル名、ファイルバージョンなどが指定できます。

AppLocker をバイパスするコマンドラインインターフェース

AppLocker のホワイトリストをバイパスするコマンドラインインターフェースが存在しています。そのため、以下のサイトのコマンドは明示的にブラックリストを構成する必要があります。